Orange România și paradoxul Securității Cibernetice

Publicat la data de

Cum o companie atacată cibernetic a câștigat contractul pentru protejarea cloud-ului guvernamental

O ironie amară a sistemului public românesc

În una dintre cele mai controversate decizii din domeniul securității cibernetice, Orange România , o companie care în februarie 2025 a suferit unul dintre cele mai grave atacuri cibernetice din istoria sa, a câștigat licitația organizată de Serviciul Român de Informații (SRI) pentru securizarea cloud-ului guvernamental. Contractul, în valoare de 149,065 milioane de lei fără TVA, ridică întrebări serioase asupra competenței instituțiilor de securitate națională în evaluarea riscurilor cibernetice.

Atacul devastator din februarie 2025

Atacul cibernetic care a lovit Orange România în februarie 2025 nu a fost o simplă încercare de infiltrare. Grupul de hackeri HellCat, condus de un atacator cunoscut sub pseudonimul „Rey”, a reușit să pătrundă profund în sistemele companiei, exfiltrând:

  • 6,5 GB de date interne cuprinzând peste 12.000 de fișiere
  • 380.000 de adrese de email unice
  • Codul sursă al aplicațiilor companiei
  • Contracte confidențiale și documente interne
  • Facturi și informații despre clienți și angajați
  • Peste 556.000 de adrese de email (conform Have I Been Pwned)
  • Date parțiale de carduri de credit, inclusiv ultimele 4 cifre și data expirării

Atacul a afectat nu doar Orange România, ci și numeroase instituții și companii din România care foloseau serviciile companiei, conform Directoratului Național de Securitate Cibernetică (DNSC). Hackerul a publicat datele furate pe forumuri underground, transformând acest incident într-o problemă de securitate națională.

Contractul guvernamental – O decizie inexplicabilă

În ciuda acestui eșec masiv de securitate, SRI a decis să atribuie Orange România contractul pentru implementarea sistemului integrat de securitate cibernetică (SISC) pentru întreaga componentă de cloud intern din cadrul Cloud-ului Privat Guvernamental. Contractul prevede protejarea:

  • Serviciilor de tip SaaS (Software as a Service)
  • Infrastructurii IaaS (Infrastructure as a Service) în cooperare cu STS
  • Platformelor PaaS (Platform as a Service)
  • Implementarea de soluții anti-APT (Advanced Persistent Threat)
  • Sisteme de Threat Hunting pentru amenințări avansate
  • Capabilități de analiză malware și forensics

Toate aceste soluții urmează să fie implementate până la 30 noiembrie 2025 – o dată care pare extrem de ambițioasă pentru o companie care nu și-a putut proteja propriile sisteme.

Companiile românești de securitate cibernetică – mari absente

România dispune de un ecosistem vibrant de companii de securitate cibernetică, multe dintre acestea cu expertiză recunoscută internațional. Companii precum:

  • Axetel Consulting – specialist în consultanță GDPR și securitate cibernetică
  • H-X Technologies – focalizată pe blockchain și IoT security
  • Cyrex – companie specializată în securitatea Web3
  • Focus Digitech – cu expertiză în transformarea digitală și securitate cloud
  • Guardionet – din judetul Bihor, cu expertiza in securizarea sistemelor informatice

Aceste companii românești, împreună cu alte zeci de firme locale specializate, au fost practic ignorate în favoarea unei multinaționale care tocmai a demonstrat vulnerabilitățile sale majore de securitate.

Eșecul instituțiilor de securitate națională

Decizia SRI și a celorlalți parteneri din proiect (STS și ADR) de a acorda contractul unei companii recent compromise cibernetic ridică întrebări fundamentale despre:

Evaluarea riscurilor de securitate

  • Cum poate o instituție responsabilă cu securitatea națională să ignore un incident de securitate atât de grav?
  • Ce criterii de evaluare au fost folosite dacă un atac cibernetic recent nu a fost considerat un factor descalificant?

Competența în domeniul cibernetic

  • SRI și SIE par să nu fi înțeles gravitatea atacului asupra Orange România
  • Lipsa unei analize adecvate de risc sugerează deficiențe majore în înțelegerea peisajului de amenințări cibernetice

Protecționismul către companiile străine

  • Preferința pentru o multinațională în detrimentul companiilor românești cu expertiză dovedită
  • Ignorarea potențialului de dezvoltare a industriei locale de securitate cibernetică

Riscurile pentru securitatea națională

Acordarea acestui contract către Orange România creează precedente extrem de periculoase:

  1. Încrederea falsă – Statul român își încredințează datele sensibile unei companii care nu și-a putut proteja propriile informații
  2. Dependența de tehnologia străină – Continuarea trendalui de externalizare a securității naționale către actori străini
  3. Demoralizarea sectorului local – Companiile românești de securitate cibernetică sunt descurajate să investească în inovație și dezvoltare

Întrebări fără răspuns

Acest caz ridică întrebări fundamentale care necesită răspunsuri urgente din partea autorităților:

  • Cum justifică SRI și SIE această decizie în contextul atacului recent?
  • Ce măsuri de siguranță suplimentare vor fi implementate pentru a compensa riscurile?
  • De ce nu au fost preferate companiile românești de securitate cibernetică?
  • Cum va fi monitorizată implementarea sistemului de către o companie cu un istoric recent de vulnerabilități?

Concluzia: Un paradox periculos

Cazul Orange România reprezentă un paradox periculos în politica de securitate cibernetică a României. În timp ce statul român investește sute de milioane de lei în protejarea infrastructurii sale digitale, încredințarea acestei responsabilități unei companii recent compromise cibernetic demonstrează o lipsă flagrantă de coherență și profesionalism în evaluarea riscurilor de securitate.

Această decizie nu doar că pune în pericol securitatea cloud-ului guvernamental, dar trimite și un mesaj îngrijorător către industria locală de securitate cibernetică: competența și experiența românească nu sunt apreciate de propriile instituții ale statului.

În era în care amenințările cibernetice devin din ce în ce mai sofisticate, România nu își poate permite să facă compromisuri în alegerea partenerilor pentru securitatea națională. Paradoxul Orange România trebuie să servească ca un semnal de alarmă pentru o revizuire urgentă a proceselor de evaluare și atribuire a contractelor de securitate cibernetică la nivel național.

Articol bazat pe informații publice disponibile și documentele oficiale ale licitației organizate de SRI pentru implementarea infrastructurii de cloud guvernamental.

Marius C. Matei

Vizualizări: 345

Posted in IT

Articole similare

Smart „cărămidă” de un kilogram

  • 31.07.2025
  • 0

Ești uimit când dai „nas în nas” cu acest telefon. Chiar dacă o mulțime de companii se chinuie să facă telefoanele cât mai subțiri, FOSSiBOT F107 […]

Lasă un răspuns